Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Dienstag, 7. Februar 2017

2: Pressemitteilungen

Safer Internet Day – Dienstleister mit Vertrauenswürdigkeitsgarantie nötig

Jedes Jahr findet am 7. Februar der „Safer Internet Day“ statt – eine gute Gelegenheit, um im Selbstcheck zu überprüfen, wie es um die Internet-Sicherheit im eigenen Bereich bestellt ist. Dieses Jahr lautet das Motto „Sei der Wandel – Gemeinsam für ein besseres Internet“ („Be the change: unite for a better internet“).

Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, sagt dazu:

„Aus Datenschutzsicht ist die Nachricht klar: Im Internet reicht es nicht aus, wenn sich nur wenige an die Spielregeln für Sicherheit und Datenschutz halten, sondern alle Beteiligten müssen rechtskonform und verantwortungsvoll agieren. Natürlich sind Standard-Maßnahmen wie Virenschutz oder Verschlüsselung gegen die Bedrohungen aus dem Cyberspace wichtig, doch es geht um mehr: Vertrauenswürdigkeit im Umgang mit personenbezogenen Daten muss an oberster Stelle stehen.“

Das ist besonders deutlich für alle Organisationen, die personenbezogene Daten von ihren Kundinnen und Kunden, Bürgerinnen und Bürgern, Patientinnen und Patienten, Klientinnen und Klienten usw. verarbeiten. Hier ist sowohl die angemessene Absicherung im eigenen Bereich als auch die geeignete Wahl der Dienstleister von Bedeutung. In besonderem Maße gilt dies für die Berufsgruppen, die mit sensiblen Daten umgehen – dies betrifft also beispielsweise Arztpraxen, Krankenhäuser, Apotheken, Pflegedienste und Pflegeheime, Beratungsstellen, freie Träger der Jugendhilfe, Maßnahmeträger im SGB II-Bereich, Bewährungshelfer und Anwaltskanzleien.

Beispielsweise ist vielen Nutzerinnen und Nutzern nicht bekannt, dass jede E-Mail, die sie an eine Google-Mail-Adresse senden, von Google automatisiert inhaltlich analysiert wird, um personalisierte Werbung zu ermöglichen. Dies steht zwar in Googles Datenschutzerklärung, aber wer prüft schon die Datenschutzaussagen der Dienstleister des E-Mail-Empfängers? Außerdem kann ein Absender gar nicht erkennen, welche etwaigen Weiterleitungen der Empfänger konfiguriert hat oder mit Hilfe welcher Dienstleister seine Daten synchronisiert werden. Womöglich hat die Synchronisierung schon längst dafür gesorgt, dass das berufliche Adressbuch im Smartphone mit allen Informationen in Kopie in außereuropäischen Clouds vorliegt, wo europäisches Datenschutzrecht viel schwerer umsetzbar ist.

Zugriffe auf solche Daten sind aber nicht nur bei einer Speicherung außerhalb von Europa möglich: Wie jüngst ein Gerichtsurteil eines Amtsgerichts in Philadelphia (USA) entschied, können US-amerikanische Anbieter verpflichtet werden, dem FBI oder anderen Sicherheitsbehörden Zugriff auch auf innereuropäisch gespeicherte Daten zu geben. Dies wurde im Sommer 2016 im Fall von Microsoft von einem Bundesberufungsgericht in New York noch anders gesehen. Schön, dass Google die Gerichtsentscheidung aus Philadelphia nicht akzeptieren und in Berufung gehen will. Doch ganz unabhängig von diesen gerichtlichen Prozessen sieht es nicht so aus, als ob die US-Regierung dem Datenschutzrecht von Europäern künftig großen Raum geben wird.

Das Resultat: Es ist weder ein Schutz gegen die Auswertung der Inhalte durch bestimmte Anbieter gegeben, noch kann außereuropäischen behördlichen Zugriffen etwas entgegengesetzt werden, sobald unverschlüsselte Informationen den eigenen Bereich verlassen.

Umso wichtiger ist es, dass alle Stellen, die mit personenbezogenen Daten umgehen, sich selbst überprüfen, ob die Umsetzung der Sicherheits- und Datenschutzanforderungen auf dem neuesten Stand ist. Zusätzlich müssen Berufsgeheimnisträger, also alle Personen, denen von Berufs wegen ein besonderes Vertrauen entgegengebracht wird, dafür sorgen, dass sie nicht Geheimnisse, die ihnen anvertraut werden, offenbaren – auch nicht durch eine technische Fehlkonfiguration oder unbedachte Weiterleitung. Schon die Tatsache, dass sich jemand als Patient oder Klient an sie wendet, ist von der Pflicht zur Geheimhaltung umfasst. Besondere Vorsicht ist geboten, wenn Informationen, die unter den gesetzlichen Geheimnisschutz fallen, über E-Mail, Textnachricht oder Cloud-Dienste ausgetauscht werden.

„Gemeinsam für ein besseres Internet“ heißt, seiner eigenen Verantwortung bei der Verarbeitung personenbezogener Daten bewusst zu werden und den Umgang mit den Daten im eigenen Bereich zu überprüfen. Dazu gehört, nur solche Dienstleister einzubinden, die kein Risiko für den Datenschutz darstellen, und bei ihnen auf Nachweise der Vertrauenswürdigkeit zu drängen.

 

Bei Nachfragen wenden Sie sich bitte an:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel

Tel: 0431 988-1200, Fax: -1223

E-Mail: mail@datenschutzzentrum.de